Ivanti 于 1 月 4 日修复了其端点管理器 (EPM) 软件中的一个严重漏洞 (CVSS 9.6),该漏洞可能会让具有内部访问权限的攻击者启动远程代码执行 (RCE)。
该漏洞(CVE-2023-39336)如果被利用,可能会让黑客利用未指定的 SQL 注入来执行任意 SQL 查询并检索输出,而无需进行身份验证。
Ivanti在博客文章中表示,这可以让黑客控制运行 EPM 代理的计算机,并且当核心服务器配置为使用 SQL Express 时,这可能会导致核心服务器上出现 RCE。
Ivanti 明确表示,没有迹象表明客户受到该漏洞的影响。不过,该公司表示,该错误会影响该产品的所有受支持版本,并已在Ivanti EPM 2022 服务更新 5中得到解决。供应商将hir0ot归功于识别和报告 Ivanti EPM 问题。
安全专业人员应注意,Ivanti 在过去几个月中其产品遇到了问题。8 月,Ivanti披露其 Ivanti Sentry 网关中的一个零日漏洞正在被广泛利用。2023 年夏天,其端点管理器移动 (EPMM) 平台面临两个备受瞩目的严重漏洞,其中一个漏洞在对挪威政府12 个部委的攻击中被利用。
太多 IT 资产忽视端点保护
Sevco Security 联合创始人 Greg Fitzgerald 解释说,黑客已经非常擅长劫持易受攻击的端点并利用它们访问数据和企业网络。Fitzgerald 表示,Ivanti 漏洞的好消息是,似乎没有人利用了该漏洞。坏消息:这种类型的漏洞只是端点安全的冰山一角。
Fitzgerald 指出,Sevco 最近的研究发现了一个更深层次的问题:许多公司对缺少端点保护等关键控制的 IT 资产视而不见。研究发现,11% 的 IT 资产一开始就缺少端点保护。同一数据显示,15% 的 IT 资产未被企业补丁管理解决方案覆盖,31% 的 IT 资产未被企业漏洞管理系统覆盖。
“这些数据点结合起来指向了一个需要注意的问题,”菲茨杰拉德说。“太多的 IT 资产对于安全团队来说是不可见的。您无法保护或修补您不了解的 IT 资产。这就是为什么准确、最新的 IT 资产清单至关重要。”
Ontinue 威胁响应负责人 Balasz Greksza 补充道,除了启动 RCE 之外,最新的缺陷还可能通过卸载/禁用运行 EPM 代理的主机上的安全产品、部署恶意驱动程序或勒索软件,以及留下持久性植入来删除它们。在组织的关键主机上。
Greksza 表示:“该漏洞的利用噪音相对较低,并且需要安全事件响应人员直接监控 SQL 查询。”
转自安全客,原文链接:https://www.anquanke.com/post/id/292442
封面来源于网络,如有侵权请联系删除